Anthropic tung Project Glasswing: Giao AI làm bảo mật, anh em dev có ra đê?

Chào anh em. Lại là câu chuyện muôn thuở: mấy pháp sư AI dạo này code nhanh như cái máy, nhưng bug thì cũng đẻ ra bằng xe tải. Để dọn dẹp bãi chiến trường này, mấy đại ca đầu sỏ bắt đầu rục rịch tung chiêu rồi đây.

Tóm tắt nhanh vụ Anthropic tung hàng nóng

Anh em nào rành thì biết Anthropic (nhà đẻ của Claude) xưa nay hay rao giảng đạo lý về "AI an toàn". Lần này các pháp sư vừa trình làng một thứ gọi là Project Glasswing. Tên thì nghe ảo ma học thuật, nhưng tóm cái váy lại thì đây là dự án tập trung vào việc bảo vệ các phần mềm cốt lõi (critical software) trong kỷ nguyên mà AI đang viết code thay cơm.

Bên cạnh đó, họ còn kẹp thêm vài món đồ chơi:

• Claude Mythos Preview: Một phiên bản model chuyên trị mảng an toàn không gian mạng (cybersecurity).
• System Card [pdf]: Một bản báo cáo dài thòng khoe khoang sương sương về khả năng cắn bug, fix lỗi bảo mật của con Mythos này.

Mục tiêu của Anthropic rất rõ ràng: Đảm bảo mấy hệ thống backend ngàn đô của các ông đ*o bị toang khi nhắm mắt phó mặc cho AI. Cơ bản là họ đang muốn giương cao ngọn cờ: "Code của Claude không chỉ xịn xò con bò, mà còn bảo mật tận răng, không lùa gà như mấy thằng hàng xóm!".

Giang cư mận nói gì về quả bánh vẽ này?

Dạo một vòng các diễn đàn IT, anh em chia phe combat cũng xôm tụ phết:

• Phe hype (đa phần là dev lười): "Đỉnh vãi, đúng thứ anh em cần! Chứ xài Copilot dạo này toàn suggest mấy đoạn code hổng bảo mật rùng mình. Có con này review code thì mượt."
• Phe thực dụng (mấy lão quái thâm niên): "Vẽ chuyện. Giao phó bảo mật hoàn toàn cho AI thì có mà bán nhà. Vẫn phải có con người review lòi trĩ ra thôi."
• Phe soi mói: Đọc cái System Card thấy cũng bùi tai, nhưng demo và thực tế ở production nó cách nhau xa lắm. Nếu AI mà có thể vá lỗi bảo mật an toàn 100% thì anh em pentest ra đê ở hết à?

Góc nhìn từ Coding4Food: Giữ chặt cần câu cơm

Anh em ạ, AI thì cũng chỉ là tool thôi. Dự án Glasswing này nghe thì kêu, hướng đi thì đúng, vì bảo mật trong thời đại Generative AI đang là một cái hố đen to chà bá.

Nhưng đừng vội ném hết cờ cho AI cầm. Trách nhiệm cuối cùng nếu server sập, data user bay màu thì người chịu đòn, bị sếp lôi ra khóa mõm vẫn là dev chúng ta chứ đ*o phải thằng Claude.

Bài học sinh tồn: Cứ xài để tăng tốc độ gõ phím, nhưng đầu óc thì phải tỉnh. Code AI gen ra vẫn phải soi như soi tin nhắn của người yêu cũ. Đừng quên tự dựng một cái máy chủ cùi bắp để test kỹ mọi ngóc ngách trước khi húng chó push thẳng lên prod nhé.

Nguồn hóng hớt:

• Dự án Glasswing (Anthropic)
• Bàn luận trên Hacker News